Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Nutzungsbedingungen und die Datenschutzerklärung von FlowCaptain und regelt die Verarbeitung personenbezogener Daten im Auftrag des Nutzers (nachfolgend "Auftraggeber"/"Verantwortlicher") durch

Woodboxpictures EOOD
14 Andrey Sakharov Blvd., 2. fl. Office 22
1784 Sofia, Bulgarien
E-Mail: legal@flowcaptain.ai

(nachfolgend "Auftragnehmer"/"Auftragsverarbeiter") gemäß Art. 28 DSGVO.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich im Rahmen der Bereitstellung der FlowCaptain-Plattform und der damit verbundenen Dienste.

Die Verarbeitung beginnt mit der Nutzung der FlowCaptain-Plattform durch den Auftraggeber und endet mit Beendigung des Nutzungsvertrags. Nach Vertragsende werden personenbezogene Daten gemäß § 11 dieses AVV gelöscht oder zurückgegeben.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

• Bereitstellung und Betrieb der FlowCaptain-Plattform (API, Dashboard, Voice-Agent)
• Verarbeitung natürlichsprachlicher Terminanfragen mittels KI-gestützter Sprachverarbeitung (NLP)
• Prüfung von Kalenderverfügbarkeit und Verwaltung von Terminen in Google Calendar
• Versand von Benachrichtigungen (SMS, E-Mail) im Auftrag des Auftraggebers
• Verifizierung von Anrufern (SMS-Code oder E-Mail-Verifizierung)
• Protokollierung von API-Anfragen und Gesprächen

Folgende Kategorien personenbezogener Daten werden im Auftrag verarbeitet:

• Anrufer-Daten: Name, Telefonnummer (Anrufer-ID), Termingrund — übermittelt durch die Sprachplattform
• Sprachdaten: Natürlichsprachliche Terminanfragen und damit verbundene sprachlich übermittelte personenbezogene Daten
• Termindaten: Gebuchte Termine inkl. Datum, Uhrzeit, Leistung, Status
• Kalenderdaten: Frei/Belegt-Informationen sowie Kalendereinträge aus Google Calendar
• Kontaktdaten: Telefonnummern und E-Mail-Adressen für Benachrichtigungen
• Nutzungsdaten: API-Aufrufe, Suchanfragen, Antwortzeiten, Gesprächsprotokolle
• Technische Daten: IP-Adresse, Browser-Typ, Geräte-Informationen

Hinweis zu sensiblen Daten (Art. 9 DSGVO): Der Auftragsverarbeiter hat keinen Einfluss darauf, welche Informationen Anrufer in einem Telefongespräch preisgeben. Es kann daher nicht ausgeschlossen werden, dass besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) übermittelt werden. Der Auftraggeber ist dafür verantwortlich, seine Anrufer entsprechend zu informieren.

• Kunden und potenzielle Kunden des Auftraggebers (Anrufer)
• Mitarbeiter des Auftraggebers (Kalenderinhaber)
• Webseitenbesucher des Dashboards

Der Auftraggeber ist verpflichtet:

• Sicherzustellen, dass die Verarbeitung personenbezogener Daten durch FlowCaptain auf einer gültigen Rechtsgrundlage beruht (z. B. Art. 6 Abs. 1 lit. b oder f DSGVO)
• Betroffene Personen (insbesondere Anrufer) über die Datenverarbeitung durch FlowCaptain zu informieren
• Den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt
• Bei der Nutzung von Sprachdiensten sicherzustellen, dass Anrufer auf die Aufzeichnung hingewiesen werden, soweit gesetzlich erforderlich
• Die Plattform nicht für unerlaubte Werbeanrufe (Kaltakquise) oder sonstige rechtswidrige Zwecke zu nutzen
• Bei sicherheitsrelevanten Prozessen angemessene Sicherheitsmaßnahmen (z. B. Verifizierung) zu aktivieren

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten nur im Rahmen dieses AVV und der Weisungen des Auftraggebers zu verarbeiten
• Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen (§ 9)
• Den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen (§ 10)
• Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren (§ 10)
• Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben (§ 11)
• Dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der DSGVO erforderlich sind

Der Auftragsverarbeiter setzt zur Erbringung seiner Leistungen Sub-Auftragsverarbeiter ein. Mit allen Sub-Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge.

Die aktuelle Liste aller Sub-Auftragsverarbeiter finden Sie unter: flowcaptain.ai/sub-processors

Für die Übermittlung personenbezogener Daten in die USA stützen wir uns auf das EU-US Data Privacy Framework (DPF) bzw. auf EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Änderungen bei den Sub-Auftragsverarbeitern werden auf der Sub-Auftragsverarbeiter-Seite veröffentlicht. Der Auftraggeber kann Änderungen innerhalb von 14 Tagen nach Bekanntgabe widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt.

Der Auftragsverarbeiter hat folgende Maßnahmen zum Schutz personenbezogener Daten implementiert:

• Verschlüsselung: TLS/SSL-Verschlüsselung für alle Datenübertragungen. Daten werden im Ruhezustand verschlüsselt gespeichert (AES-256).
• Zugriffskontrolle: Rollenbasierter Datenzugriff. API-Schlüssel mit eingeschränkten Berechtigungen. Row Level Security (RLS) auf Datenbankebene.
• Authentifizierung: Sichere Passwort-Hashing (bcrypt). Unterstützung für Multi-Faktor-Authentifizierung. HMAC-SHA256-signierte Tokens mit kurzer Gültigkeitsdauer.
• Datenminimierung: Automatische Löschung von API-Logs und Anfragen nach 90 Tagen. Verifizierungscodes werden nach maximal 24 Stunden automatisch gelöscht.
• Verfügbarkeit: Automatisiertes Uptime-Monitoring und Alerting. Regelmäßige Backups der Datenbank. Angestrebte Verfügbarkeit von 99,5 % im Jahresdurchschnitt.
• Netzwerksicherheit: Rate Limiting zum Schutz vor Missbrauch. CORS-Richtlinien. Sichere HTTP-Header.
• Mandantentrennung: Strikte Datentrennung zwischen Kunden auf Datenbankebene (Row Level Security). Jeder Kunde hat Zugriff ausschließlich auf seine eigenen Daten.
• Mitarbeiterzugang: Nur autorisiertes Personal hat Zugang zu personenbezogenen Daten. Alle Zugriffsberechtigungen basieren auf dem Prinzip der geringsten Berechtigung.

Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO. Anfragen von betroffenen Personen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet.

Meldepflicht bei Datenpannen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden, über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO). Die Meldung enthält:

• Art der Datenschutzverletzung
• Betroffene Datenkategorien und Personenkreise
• Wahrscheinliche Folgen
• Ergriffene und vorgeschlagene Gegenmaßnahmen

Meldungen erfolgen an: legal@flowcaptain.ai

Nach Beendigung des Nutzungsvertrags werden personenbezogene Daten wie folgt behandelt:

• Kontodaten: Werden bei Kontolöschung unverzüglich gelöscht (Kaskadenlöschung).
• API-Logs, Anfragen und Gesprächsprotokolle: Werden nach 90 Tagen automatisch gelöscht.
• Abrechnungsdaten: Werden gemäß gesetzlicher Aufbewahrungspflichten für bis zu 10 Jahre aufbewahrt.
• Google Calendar-Einträge: Verbleiben im Google Calendar des Auftraggebers und werden nicht gelöscht.

Auf Wunsch des Auftraggebers stellt der Auftragsverarbeiter die Daten in einem strukturierten, maschinenlesbaren Format zur Verfügung, bevor sie gelöscht werden.

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch Audits oder Inspektionen zu überprüfen. Audits sind mit angemessener Vorankündigung (mindestens 14 Tage) während der regulären Geschäftszeiten durchzuführen und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen.

Der Auftragsverarbeiter stellt alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.

Die Haftung richtet sich nach den Nutzungsbedingungen (§ 7) sowie den anwendbaren gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO.

• Dieser AVV unterliegt dem Recht der Republik Bulgarien, soweit nicht zwingende Vorschriften der DSGVO dem entgegenstehen.
• Änderungen dieses AVV bedürfen der Schriftform. Änderungen werden dem Auftraggeber mindestens 30 Tage vor Inkrafttreten mitgeteilt.
• Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.
• Dieser AVV ist Bestandteil der Nutzungsbedingungen und tritt mit Annahme der Nutzungsbedingungen in Kraft.

Bei Fragen zu diesem AVV oder zur Datenverarbeitung erreichen Sie uns unter:

E-Mail: legal@flowcaptain.ai
Post: Woodboxpictures EOOD, 14 Andrey Sakharov Blvd., 2. fl. Office 22, 1784 Sofia, Bulgarien